PT-2022-20564 · Unknown · Activitywatch
Zozs
·
Publicado
2022-09-07
·
Atualizado
2022-09-13
·
CVE-2022-31149
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do ActivityWatch anteriores à 0.12.0b2
Descrição
A vulnerabilidade permite que invasores realizem ataques de rebinding de DNS, concedendo-lhes acesso total à API REST do ActivityWatch. Isso afeta todos os usuários que executam as versões afetadas do ActivityWatch.
Recomendações
Para versões anteriores à 0.12.0b2, atualize para a v0.12.0b2 ou posterior para receber uma correção.
Como solução alternativa temporária, considere bloquear consultas de DNS que resolvam para 127.0.0.1.
Exploit
Correção
Authentication Bypass by Spoofing
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Activitywatch